14
Activations KMS Réf : Activation KMS De Windows 7.Docx 1 26/06/2015 Activation KMS pour Win 7 (avec ou sans VAMT) Rédacteurs : Stéphan CAMMARATA – Dane Strasbourg Objet : Document décrivant la procédure pour gérer les activations des systèmes d’exploitation Microsoft avec une clé KMS. Avertissement : Les méthodes décrites dans ce document doivent être employées dans le strict respect du nombre de licences réellement acquises par l’établissement ou mises à disposition par la Collectivité. La Dane, ne saurait être tenue responsable d’une utilisation abusive des méthodes décrites dans cette notice. Dans tous les cas, se conformer aux contrats de licence concernés.

Activation KMS pour Win 7 (avec ou sans VAMT)

Embed Size (px)

Citation preview

Page 1: Activation KMS pour Win 7 (avec ou sans VAMT)

Activations KMS

Réf : Activation KMS De Windows 7.Docx 1 26/06/2015

Activation KMS pour Win 7

(avec ou sans VAMT)

Rédacteurs : Stéphan CAMMARATA – Dane Strasbourg Objet : Document décrivant la procédure pour gérer les

activations des systèmes d’exploitation Microsoft avec une clé KMS.

Avertissement : Les méthodes décrites dans ce document doivent être employées dans le strict respect du nombre de licences réellement acquises par l’établissement ou mises à disposition par la Collectivité. La Dane, ne saurait être tenue responsable d’une utilisation abusive des méthodes décrites dans cette notice. Dans tous les cas, se conformer aux contrats de licence concernés.

Page 2: Activation KMS pour Win 7 (avec ou sans VAMT)

Activations KMS

Réf : Activation KMS De Windows 7.Docx 2 26/06/2015

FEUILLE DE SUIVI

Version Date Nature du changement Auteur 1.0 08/10/2014 Version initiale Stephan Cammarata 2.0 10/10/2014 Rajout/refonte d’informations Stephan Cammarata 2.1 01/11/2014 Changement des copies

d’écran/logo Dane Stephan Cammarata

2.2 26/06/2015 Corrections pour la diffusion des clés d’hôte

Stephan Cammarata

Page 3: Activation KMS pour Win 7 (avec ou sans VAMT)

Activations KMS

Réf : Activation KMS De Windows 7.Docx 3 26/06/2015

SOMMAIRE

0.   LE PRINCIPE .......................................................................................... 4  

1.   LES METHODES D’ACTIVATION EXPLIQUEES ........................................ 5  

2.   CONFIGURER UN HOTE KMS WINDOWS 7 ............................................. 7  

3.   CONFIGURER UN HOTE KMS WS 2012 R2 ............................................. 9  

4.   OPERATIONS SUR LES CLIENTS A ACTIVER ........................................ 12  

5.   TRUCS ET ASTUCES .............................................................................. 13  

Page 4: Activation KMS pour Win 7 (avec ou sans VAMT)

Activations KMS

Réf : Activation KMS De Windows 7.Docx 4 26/06/2015

0. Le principe L’activation KMS (Key Management System) repose sur le principe suivant :

Etape 1 : Obtenir la clé KMS CSVLK pour l’hôte (contacter votre revendeur) Etape 1 : Désigner un hôte KMS sur le réseau. Cet hôte, unique dans l’établissement, doit être toujours joignable. S’il doit être éteint (maintenance), il faut veiller à le rendre à nouveau disponible, faute de quoi les clients perdraient leur activation au bout d’un certain temps (180 jours). L’hôte peut être :

• Un serveur Windows (2008R2 ou supérieur) membre du domaine ou contrôleur • Un ordinateur sous Windows 7 Professionnel qui reste allumé (console Trend …)

membre du domaine. Remarque : même dans le cas de très gros établissements (>300 clients), il est inutile de déclarer plusieurs hôtes KMS. En terme de capacité : un hôte KMS est capable d’activer 10000 licences à l’heure. En terme de restauration de service suite à une panne : la déclaration d’un nouvel hôte est l’affaire de quelques minutes (voir section trucs et astuces).

Etape 2 : (voir paragraphes 2 ou 3 suivant la nature de l’hôte) Activer l’hôte. L’hôte doit recevoir une clé de classe KMS spécifique, correspondant au système de l’hôte (Win7 ou Win serveur) et qu’il faut activer une et une seule fois en ligne.

Etape 3 : (voir paragraphe 4) Implanter une clé générique sur les clients. Surtout PAS la clé CSVLK réservée à l’hôte.

• Les postes qui ont été mastérisés par le master 2014 et par le master 2015 contiennent déjà cette clé.

• Les postes qui contiennent une autre clé (MAK, OEM…) peuvent voir leur clé remplacée par une clé générique.

Les clients ainsi configurés demandent une activation à l’hôte de manière permanente et automatique, sans intervention humaine.

Hôte KMS Activé en ligne

Ordinateur joignable Clé KMS CSVLK

Clients KMS Activés par l’hôte

Clé GVLK

Page 5: Activation KMS pour Win 7 (avec ou sans VAMT)

Activations KMS

Réf : Activation KMS De Windows 7.Docx 5 26/06/2015

1. Les méthodes d’activation expliquées a. L’hôte KMS

L’hôte KMS est activé en ligne par une clé spécifique KMS CSVLK (Customer Support Volume License Key). L’implantation de cette clé le déclare de fait hôte KMS. Il faut se munir de la clé spécifique correspondant au système d’exploitation qui est installé sur l’hôte (voir paragraphe 0 pour l’obtention des clés KMS CSVLK). Cette clé ne sert qu’une seule fois par établissement : pour l’hôte. Exemples :

• Mon hôte est un PC sous Windows 7 : j’utilise la clé KMS CSVLK pour Win 7 Mon hôte sera capable d’activer des clients Win7 ou Vista.

• Mon hôte est un serveur sous Windows 2008R2 Std : j’utilise la clé KMS_B (CSVLK) pour Windows Server 2008R2. Mon hôte sera capable d’activer des clients Win7 ou Vista (mais aussi des serveurs 2008 ou 2008R2, fonction que l’on n’utilise pas).

• Mon hôte est un serveur sous Windows 2012R2 Std : j’utilise la clé KMS_B (CSVLK) pour Windows Server 2012R2. Mon hôte sera capable d’activer des clients Win 8.1, Win8, Win7 ou Vista (mais aussi des serveurs 2012R2, 2012, 2008R2 ou 2008, fonction que l’on n’utilise pas).

L’hôte est activé définitivement en ligne une fois pour toutes. Pour les serveurs Windows uniquement : une fois activé, l’hôte insère dans le DNS un enregistrement de type SRV qui permet aux clients du domaine la découverte automatique (ie. de le retrouver tous seuls).

b. Les clients KMS Les clients que l’on souhaite intégrer dans le procédé d’activation automatique KMS reçoivent une clé générique, appelée GVLK=General Volume License Key. Inactifs, ils contactent l’hôte KMS (par intervalles de 2h) qui leur accorde (ou non) une activation. Si l’activation est accordée, elle est valable pendant 180 jours. Tous les 7 jours, le client activé recontacte l’hôte. S’il y arrive et que l’hôte accepte, son activation est reconduite pour 180 jours. Conséquences :

• Un client se trouve désactivé au bout de 180 jours s’il n’a jamais réussi à contacter un hôte KMS pendant ces 180 jours.

• Il est donc préférable que l’hôte KMS reste joignable, on peut néanmoins envisager sereinement des interventions qui nécessitent des redémarrages.

• Il vaut mieux éviter d’utiliser le cycle d’activation KMS pour des machines « isolées » (portables…) ou des machines qui ne seraient pas susceptibles de contacter l’hôte dans un intervalle supérieur à 180 jours (reste éteinte 6 mois).

• Il est possible de « panacher » les activations KMS et MAK (que l’on réservera aux postes clients qui se connectent rarement au réseau tels que portables, etc…)

Page 6: Activation KMS pour Win 7 (avec ou sans VAMT)

Activations KMS

Réf : Activation KMS De Windows 7.Docx 6 26/06/2015

Conditions d’accord d’une activation par l’hôte : L’hôte KMS accorde une activation aux clients sous Win7 qui le contactent si et seulement si les deux conditions suivantes sont réunies simultanément :

• 25 machines physiques au moins ont demandé une activation • ET la date de la demande la plus ancienne parmi les 25 n’excède pas 30 jours

(cache KMS). Ces deux conditions sont facilement réunies dans un réseau d’EPLE puisque Windows 7 est maintenant présent sur bon nombre de machines. Le procédé se déroule de la manière suivante à la première mise en service du cycle :

• La machine 1 demande une activation. Elle est refusée, la demande horodatée est mise en cache.

• La machine 2 demande une activation. Elle est refusée, la demande horodatée est mise en cache.

• … • La machine 24 demande une activation.

Elle est refusée, la demande horodatée est mise en cache. • La machine 25 demande une activation.

Elle est accordée ainsi que les 24 demandes précédentes, la demande horodatée est mise en cache. à Le cache contient le minimum de 25 demandes

Remarque : le cache contient un maximum de 50 demandes, ne garde que les demandes les plus récentes et se gère sans intervention de notre part. Conséquence :

• Il est impossible d’utiliser l’activation KMS si le nombre de machines sous Windows 7 du réseau est inférieur à 25.

• Les machines virtuelles peuvent aussi être activées par l’hôte KMS, si elles viennent en plus du minimum de 25 machines physiques. Leurs demandes ne sont pas mises en cache.

Les grandes vacances scolaires : Pendant les grandes vacances, le cache KMS sera inévitablement vidé (période > 30j). Il se remplira à nouveau courant septembre quand les premiers postes seront allumés et feront une demande de renouvellement. Les clients ont une activation valable 180 jours, donc ils ne se trouveront pas désactivés, sauf dans le cas suivant : au 1er septembre, le client n’a jamais été allumé suffisamment longtemps (2h consécutives environ) depuis 180 jours, c’est à dire depuis le mois de mars. En cas de problème à la rentrée : Il suffira d’allumer 25 clients Win 7 et si on est pressé, de les forcer à faire leur demande de réactivation (voir trucs et astuces) ce qui aura pour conséquence de remplir le cache quasi instantanément.

Page 7: Activation KMS pour Win 7 (avec ou sans VAMT)

Activations KMS

Réf : Activation KMS De Windows 7.Docx 7 26/06/2015

2. Configurer un hôte KMS Windows 7 a. Vérifications préalables

• L’hôte possède une IP fixe ou réservée (particulièrement important avec SE3). • S’assurer que l’hôte est connecté à internet avec les bons paramètres proxy

(cf. préconisations pour VAMT si besoin) • Le parefeu (profil domaine) est désactivé ou l’exception de trafic KMS est activée ou le port

1688 est ouvert. • Disposer d’une clé KMS CSVLK pour Windows 7.

b. Méthode 1 : avec l’assistant d’activation

Etape Information / Question Action Etat 1

Aller dans :

• Panneau de configuration • Système et sécurité • Système

Astuce : Cette zone du panneau de configuration est accessible avec le raccourci clavier « touches Windows +Pause » Cliquer sur « modifier la clé de produit », que la machine soit activée ou non. Sur la photo ci-contre, la machine n’est pas activée

2

Entrer la clé KMS CSVLK. Poursuivre le cycle normal d’activation en cliquant sur suivant.

3 Redémarrer l’hôte

Page 8: Activation KMS pour Win 7 (avec ou sans VAMT)

Activations KMS

Réf : Activation KMS De Windows 7.Docx 8 26/06/2015

c. Méthode 2 : en ligne de commande

Etape Information / Question Action Etat 1

Démarrer une invite de commande avec élévation de privilèges Exécuter la ligne de commande : cscript %WINDIR%\System32\slmgr.vbs –ipk XXXXX-XXXXX-XXXXX-XXXXX-XXXX Remplacer XXXXX-XXXXX-XXXXX-XXXXX-XXXX Par la clé KMS CSVLK.

2

Activer en ligne en lançant dans la foulée la commande : cscript %WINDIR%\System32\slmgr.vbs –ato

3 Redémarrer l’hôte

L’hôte KMS est ainsi activé définitivement et devient de fait serveur de licence pour le réseau. La clé KMS CSVLK ne sert que pour cette étape, elle NE DOIT PAS être utilisée pour d’autres postes. Son compteur d’activation est très restreint (6 activations). Aucune autre action n’est nécessaire sur l’hôte.

Page 9: Activation KMS pour Win 7 (avec ou sans VAMT)

Activations KMS

Réf : Activation KMS De Windows 7.Docx 9 26/06/2015

3. Configurer un hôte KMS WS 2012 R2 a. Conditions préalables

• Le serveur choisi peut être un contrôleur de domaine ou non. Le service de licence n’est

pas gourmand en ressources. • L’hôte possède une IP fixe ou réservée (c’est le cas pour les contrôleurs de domaine, mais

dans certains cas, l’hôte KMS peut être choisi parmi les serveurs membres) • S’assurer que l’hôte est connecté à internet avec les bons paramètres proxy

(cf. préconisations pour VAMT si besoin). • Le parefeu est désactivé ou l’exception de trafic KMS est activée ou le port 1688 est

ouvert. Si on utilise une configuration avancée du service de licence, ouvrir le bon port (utilisateurs expérimentés).

• Disposer de la clé KMS_B (CSVLK) pour Windows Server 2012 R2.

b. Utilisation du gestionnaire de serveur NB : les captures n’ont pas pu être réalisées sur un serveur en français, le mien étant déjà activé

Etape Information / Question Action Etat 1

Lancer le gestionnaire de serveur et chosiir d’ajouter des rôles et fonctionnalités. Choisir le rôle « services d’activation en volume » Poursuivre l’assistant en installant les fonctionnalités proposées.

2 Le rôle est installé mais nécessite une configuration.

3

Choisir KMS et sélectionner le serveur actuel dans « parcourir »

Page 10: Activation KMS pour Win 7 (avec ou sans VAMT)

Activations KMS

Réf : Activation KMS De Windows 7.Docx 10 26/06/2015

Etape Information / Question Action Etat 4

Renseigner la clé KMS_B CSVLK

5

Activer l’hôte

6

Choisir la méthode d’activation en ligne En cas d’échec, vérifier les paramètres du proxy

et/ou la configuration de Amon (proxy non transparent)

7 Confirmer le remplacement de la clé actuelle 8

Un résumé précise la configuration du rôle. Dans la majorité des cas, la configuration

proposée convient. Fermer la fenêtre de l’assistant.

Si on clique sur suivant, les options de

configuration peuvent être changées (voir étape 9, facultative).

Page 11: Activation KMS pour Win 7 (avec ou sans VAMT)

Activations KMS

Réf : Activation KMS De Windows 7.Docx 11 26/06/2015

Etape Information / Question Action Etat L’étape 9 ci-dessous est facultative : modification de la configuration par défaut du rôle (utilisateurs avancés) 9

• Combien de fois le client KMS tente l’activation avant d’être activé et durant la période de grâce et notifications

• Quand le client KMS renouvelle son activation • Port utilisé par le KMS • Les exceptions KMS sur les différents profils du

pare-feu • Publie l’enregistrement KMS au DNS. Si rien

n’est fait, vous pouvez créer manuellement le record avec l’option suivante ou dans la MMC DNS

• Les noms des zones DNS supplémentaires (inutile dans un EPLE à ce jour)

L’hôte KMS insère (de manière automatique) un enregistrement de type SRV dans le DNS qui permet sa localisation automatique. Cet enregistrement est visible dans la zone de recherche directe, conteneur _tcp. Sur l’image ci-contre c’est l’enregistrement _VLMCS Si cet enregistrement n’a pas été ajouté automatiquement, il est possible de le rajouter :

• Depuis la console DNS, sélectionner la zone de recherche directe où l’enregistrement doit être créé puis “Clic droit > Nouveaux enregistrements”

• Sélectionner l’enregistrement de de type “Emplacement du service (SRV)” et cliquer sur “Créer un enregistrement”

• Spécifier les informations suivantes : Service: _VLMCS Protocole: _TCP Port: 1688 Hôte offrant ce service: <FQDN_hôte_KMS> (ex de FQDN serveur1.0681932F.ac-strasbourg.fr)

Page 12: Activation KMS pour Win 7 (avec ou sans VAMT)

Activations KMS

Réf : Activation KMS De Windows 7.Docx 12 26/06/2015

4. Opérations sur les clients à activer Les clients Windows 7 Pro que l’on souhaite voir entrer dans le cycle d’activation KMS (25 au moins) doivent se voir implanter une clé générique (GLVK). NE PAS implanter la clé KMS CSVLK sur les clients à activer. Elle est strictement réservée à l’hôte et son utilisation est limitée à un hôte par établissement.

Voici la clé GVLK de Windows 7 Pro : FJ82H-XT6CR-J8D7P-XQJJ2-GPDD4

Deux cas se présentent : • Cas 1 : le poste est fraichement masterisé avec le master 2014 ou 2015.

Il n’y a rien à faire au niveau de la clé, le master contient la GVLK de Win7. Pour les réseaux SE3 uniquement, il faudra spécifier l’adresse IP de l’hôte KMS

• Cas 2 : le poste est en production et activé avec une clé MAK ou une clé OEM, on souhaite le passer en cycle d’activation KMS. Il y a 3 façons de faire :

o Changer la clé à la main dans le panneau de configuration (peu ergonomique car cela concerne un grand nombre de postes)

o Changer la clé en ligne de commande ou/et avec un script (voir ci-dessous)

o Changer la clé avec VAMT (la méthode est identique à l’implantation d’une clé MAK, se reporter à la documentation de VAMT)

Lorsque la clé de produit est changée, le poste va se désactiver. C’est tout à fait normal. Il se réactivera (pour 180 jours renouvelables) lorsque l’hôte KMS aura reçu 25 demandes au moins.

Etape Information / Question Action Etat 1

Démarrer une invite de commande avec élévation de privilèges Exécuter la ligne de commande : cscript %WINDIR%\System32\slmgr.vbs –ipk FJ82H-XT6CR-J8D7P-XQJJ2-GPDD4

Etape obligatoire sous SE3 uniquement (absence de DNS localisant l’hôte automatiquement) : 2 Pour spécifier la localisation de l’hôte KMS exécuter la ligne de commande :

cscript %WINDIR%\System32\slmgr.vbs /skms <IP_hote_kms>:1688 Remplacer <IP_hote_kms> par l’adresse IP de l’hôte.

Etape facultative quelque soit le domaine : 3

Le client tentera de s’activer tout seul dans un intervalle de 2 heures. Si on souhaite forcer le contact immédiat avec l’hôte sans attendre : cscript %WINDIR%\System32\slmgr.vbs –ato

Page 13: Activation KMS pour Win 7 (avec ou sans VAMT)

Activations KMS

Réf : Activation KMS De Windows 7.Docx 13 26/06/2015

5. Trucs et astuces a. Commandes liées au service de licence

L’ensemble des commandes ci-dessous est à taper dans une invite de commande avec les privilèges suffisants.

i. Sur l’hôte KMS Consulter l’état détaillé du service de licences (pour savoir où en est le cache, combien de demandes sont arrivées, etc …) :

cscript %WINDIR%\System32\slmgr.vbs –dlv

ou pour un résumé moins détaillé : cscript %WINDIR%\System32\slmgr.vbs –dli

ii. Sur les clients KMS Ensemble des commandes qui peuvent constituer un script batch (à adapter selon le réseau : collège/lycée/SE3/Windows server) :

Rem implantation de la clé générique GVLK Win7 Pro cscript %WINDIR%\System32\slmgr.vbs –ipk FJ82H-XT6CR-J8D7P-XQJJ2-GPDD4 Rem forcer le contact de l’hôte KMS (facultatif – le client le fera seul dans les 2 h) cscript %WINDIR%\System32\slmgr.vbs –ato Rem POUR SE3 seulement : déclarer l’IP de l’hôte KMS cscript %WINDIR%\System32\slmgr.vbs -skms <IP_hote_kms>:1688

Commande qui réactive la découverte automatique de l’hôte sur le réseau : si on a spécifié l’adresse IP de l’hôte KMS et que l’on souhaite passer à nouveau en découverte automatique (annule le paramètre –skms) :

cscript %WINDIR%\System32\slmgr.vbs -ckms

b. Astuce pour le déploiement Le procédé d’activation KMS convient particulièrement bien au déploiement avec MDT. La base étant un master avec clé GVLK injectée lors du déploiement (le master 2014 ou 2015 par exemple), les postes déployés se réactiveront automatiquement en contactant l’hôte sans intervention humaine avec VAMT. Pour les réseaux SE3 : envisager de rajouter un script durant la séquence de tâches qui définit l’IP de l’hôte KMS ou exécuter ce script à l’intégration.

Page 14: Activation KMS pour Win 7 (avec ou sans VAMT)

Activations KMS

Réf : Activation KMS De Windows 7.Docx 14 26/06/2015

c. L’hôte KMS est tombé en panne L’absence d’hôte KMS sur le réseau engendrera à terme la désactivation de tous les clients qui arrivent en fin de « bail » de 180 jours. Il est donc indispensable de le remplacer. La clé KMS n’est utilisable qu’une seule fois par établissement. Néanmoins, en cas de crash de l’hôte KMS, il faudra le réinstaller et donc activer le nouvel hôte avec la clé KMS de la Collectivité. Conseil préalable pour les environnements qui ne sont pas sous Windows Server : Si possible, donner au nouvel hôte la même adresse IP que l’hôte qui est tombé en panne (libérer la réservation de l’hôte tombé en panne par exemple). Quelles opérations sont à envisager :

0. Choisir un nouvel hôte 1. Pour les environnements avec DNS uniquement (Windows Server) :

Supprimer l’enregistrement SRV qui pointe vers l’ancien hôte. Cela permettra au nouvel hôte de créer son enregistrement de manière automatique. Si vous omettez cette étape, il faudra corriger le DNS à la main de toute façons.

2. Pour tous : refaire l’étape 2 ou 3 de cette documentation en fonction de l’hôte (Serveur Windows ou PC sous Win7)

3. Pour les environnements sans DNS uniquement (SE3…) : Cas 1 - le nouvel hôte a la même IP que le précédent : rien à faire Cas 2 - le nouvel hôte n’a pas la même IP que le précédent : Sur chaque client qui s’active auprès de l’hôte KMS, passer la commande qui lui permet de contacter le nouvel hôte : cscript %WINDIR%\System32\slmgr.vbs -skms <IP_nouvel_hote_kms>:1688

d. Activations de Microsoft Office avec KMS

Si le contrat d’acquisition de Microsoft office le permet, les clients Office 2013 (ou 2010) peuvent aussi être activés avec un principe KMS en rajoutant cette tâche à l’hôte. Télécharger pour cela le pack de licence en volume pour Office 2013 Pour les hôtes KMS sous Windows 7 / 2008R2, la mise à jour en lien sera nécessaire Pour obtenir la clé KMS CSVLK de Micosoft Office, se rapprocher du fournisseur. Rappel : les activations KMS ne sont pas techniquement limitées, dépasser le nombre d’activations par rapport aux licences possédées (systèmes d’exploitation ou suites Office) constitue une fraude qui ne pourra pas être imputable à la Dane.